Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare Klopatra Banking Trojan

Klopatra Banking Trojan

Med Mezo i Mobil skadelig programvare, Bank Trojan
Oversett til:

En tidligere ukjent Android-banktrojaner, Klopatra, har kompromittert over 3000 enheter, med Spania og Italia hardest rammet. Denne sofistikerte skadelige programvaren, som ble oppdaget sent i august 2025 av infosec-forskere, blander en trojaner for fjerntilgang (RAT) med avanserte unnvikelsesteknikker, og målretter seg mot finansiell informasjon og muliggjør uredelige transaksjoner.

Sofistikerte angrepsteknikker og fjernkontroll

Klopatra bruker Hidden Virtual Network Computing (VNC) for å få fjernkontroll over infiserte enheter. Den bruker dynamiske overlegg for å stjele legitimasjon og utføre uautoriserte transaksjoner. I motsetning til konvensjonell mobil skadelig programvare integrerer Klopatra innebygde biblioteker og den kommersielle Virbox-kodebeskyttelsespakken, noe som gjør deteksjon og analyse ekstremt vanskelig.

Analyse av skadevarens kommando-og-kontrollinfrastruktur (C2) og språklige ledetråder indikerer at en tyrkisktalende kriminell gruppe driver Klopatra som et privat botnett, i stedet for å tilby det som en offentlig skadevare-som-en-tjeneste (MaaS). Siden mars 2025 har 40 forskjellige versjoner av trojaneren blitt identifisert.

Hvordan ofre blir lokket inn

Klopatra sprer seg via sosial manipulering, der brukere lures til å installere dropper-apper som utgir seg for å være harmløse verktøy, for eksempel IPTV-strømmeapper. Disse appene utnytter brukernes vilje til å installere piratkopiert programvare fra upålitelige kilder.

Når den er installert, ber dropperen om tillatelser til å installere pakker fra ukjente kilder. Deretter trekker den ut hovednyttelasten til Klopatra fra en innebygd JSON-pakker. Skadevaren ber i tillegg om tilgjengelighetstjenester for Android, som, selv om de er utformet for å hjelpe brukere med funksjonsnedsettelser, kan misbrukes til å:

  • Les skjerminnholdet
  • Spill inn tastetrykk
  • Utfør handlinger autonomt

Dette gjør det mulig for angripere å utføre økonomisk svindel uten offerets viten.

Avansert arkitektur for skjulthet og robusthet

Klopatra skiller seg ut på grunn av sin avanserte og robuste design:

  • Virbox-integrasjon beskytter skadevaren mot analyse.
  • Kjernefunksjoner ble flyttet fra Java til native biblioteker for økt stealth.
  • Omfattende kodeforvirring, anti-feilsøking og integritetskontroller under kjøretid hindrer deteksjon.
  • Operatører får granulær kontroll i sanntid via VNC, inkludert muligheten til å:
  • Vis et svart skjermoverlegg for å skjule ondsinnet aktivitet.
  • Utfør banktransaksjoner i hemmelighet.
  • Lever falske innloggingsskjermer dynamisk til målrettede finans- og kryptovalutaapper.

    • Skadevaren deaktiverer også forhåndsinstallert antivirusprogramvare og kan eskalere tillatelsene ved hjelp av tilgjengelighetstjenester for å forhindre oppsigelse.

    Svindelutførelse og strategisk timing

    Klopatras operatører følger en nøye orkestrert angrepssekvens:

    • Sjekk om enheten lader, om skjermen er av og om enheten er inaktiv.
    • Reduser skjermens lysstyrke til null og vis et svart overlegg.
    • Bruk stjålne PIN-koder eller mønstre for å få tilgang til bankapper.
    • Utfør flere umiddelbare bankoverføringer uoppdaget.

    Denne nattstrategien sikrer at enhetene forblir strømførende og uten tilsyn, noe som gir angriperne et ideelt tidsrom å bruke dem mens ofrene sover.

    Implikasjoner for finanssektoren

    Selv om Klopatra ikke gjenoppfinner mobil skadevare, representerer den en betydelig opptrapping av sofistikeringen av trusler. Ved å ta i bruk kommersiell beskyttelse og stealth-taktikker maksimerer operatørene både lønnsomheten og levetiden til driften.

    Google har bekreftet at ingen infiserte apper er funnet på Google Play, men skadevarens avhengighet av tredjeparts- og piratkopierte apper understreker den vedvarende risikoen for mobilbrukere.

    Trender

    Mest sett

    Laster inn...